El análisis confirmó que WhatsApp permitía mapear usuarios a escala global mediante consultas masivas. En Uruguay, el 57,72 % tiene foto pública.
Seguro lo hiciste alguna vez: buscás un número en WhatsApp y, automáticamente, ves el nombre del contacto, su foto de perfil y una descripción de su estado.
Investigadores austríacos de la Universidad de Viena probaron esa función de manera automatizada y revelaron que ese mecanismo permitió reconstruir la agenda global de WhatsApp. La estimación fue de 3.500 millones de cuentas identificables, según la noticia revelada en primer lugar por la revista Wired.
Gabriel Gegenhuber, de la Universidad de Viena, explicó: "Normalmente, un sistema no debería responder a tal cantidad de solicitudes en tan poco tiempo". Señaló que ese comportamiento reveló la falla.
Según el investigador, el sistema aceptaba un volumen ilimitado de consultas desde una sola fuente. Eso hizo posible mapear los datos de usuarios a escala mundial. Lograron consultar 7.000 números por segundo desde una sola conexión universitaria sin ser bloqueados ni limitados por la plataforma, dicen en la investigación.
En Uruguay, WhatsApp es la herramienta dominante desde hace más de una década. Al sumar un número, suelen verse nombre, foto y descripción si la persona no modificó la privacidad.
La investigación reveló que hay 3.590.005 cuentas activas, lo que equivale al 0,10 % del total global. La adopción muestra 105,93 cuentas por cada 100 habitantes.
Los datos disponibles indican que 57,72 % de las cuentas locales tiene foto visible: son más de 2.072.000 cuentas. En 33,45 % aparece también el texto del estado.
Más datos sobre Uruguay:
Número de cuentas activas: puesto 100 de 235, con 3.590.005 cuentas.
Proporción global de cuentas: puesto 100 de 235, con 0,10 % del total mundial.
Adopción per cápita (cuentas por cada 100 habitantes): puesto 25 de 232 países con dato disponible, con 105,93 cuentas cada 100 habitantes.
Android: puesto 110 de 235, con 79,09 % de las cuentas en Android.
iOS: puesto 126 de 235, con 20,91 % en iOS.
Foto de perfil pública: puesto 95 de 235, con 57,72 % de cuentas con imagen visible.
Texto “Acerca de” / estado visible: puesto 52 de 235, con 33,45 % mostrando estado o info.
Cuentas de empresa (Business): puesto 124 de 235, con 5,92 % de cuentas Business.
Companions: puesto 24 de 235, con 15,66 % de las cuentas usando Companions.
La investigación, de más de 20 páginas y titulada ¡Hola! Estás usando WhatsApp: Enumeración de tres mil millones de cuentas por seguridad y privacidad, fue realizada por la Universidad de Viena y SBA Research. Ambos grupos divulgaron la vulnerabilidad de forma responsable y trabajaron con Meta para resolverla.
Los autores señalaron: "Si no se hubiera recopilado como parte de un estudio de investigación llevado a cabo de forma responsable, se trataría de la mayor filtración de datos de la historia".
En octubre, Meta aplicó una limitación estricta de la tasa de solicitudes. Esa medida cerró el método de enumeración masiva utilizado por los investigadores, por lo que no existió ningún tipo de filtración.
El estudio aclaró: "No implicó el acceso al contenido de los mensajes". Afirmaron que no se compartió ni publicó ningún dato personal. Todos los datos recolectados fueron eliminados antes de la publicación del trabajo. El cifrado de extremo a extremo no se vio afectado, aseguraron los investigadores en el sitio web del centro de estudios.
Aljosha Judmayer, de la Universidad de Viena, explicó: "Este cifrado protege el contenido, pero no necesariamente los metadatos". Los metadatos es la información sobre el usuario que no representan el mensaje en sí. Por ejemplo, si el celular es Android o iPhone se considera un "metadato". Indicó que su análisis mostró riesgos cuando esos metadatos se procesan a gran escala.
Se identificaron millones de cuentas en países donde WhatsApp está prohibido. Entre ellos China, Irán y Myanmar.
En esos territorios, una filtración de números podría haber expuesto a usuarios a detenciones. La recopilación masiva habría generado riesgos directos.
Los autores afirmaron que "la investigación se llevó a cabo siguiendo estrictas directrices éticas". Destacaron su adhesión a los principios de divulgación responsable.
El antecedente más directo ocurrió en 2017. Un investigador advirtió entonces la posible exposición de estos datos.
El vicepresidente de Ingeniería de WhatsApp, Nitin Gupta, agradeció a investigadores por detectar una falla en el sistema. "Estamos agradecidos con los investigadores de la Universidad de Viena por su colaboración responsable y dedicación".
Destacó que el hallazgo surgió en el marco del programa de recompensas por errores (Bug Bounty) de la empresa. "Gracias a esta colaboración, se identificó exitosamente una técnica de enumeración innovadora", señaló Gupta. Explicó que el método detectado "excedía los límites previstos", permitiendo acceder a información pública.
Permitía a los investigadores "recopilar información básica disponible públicamente", según detalló el vocero. Indicó que la empresa ya trabajaba en sistemas para "prevenir la recolección automatizada" de datos en la plataforma.
"Este estudio fue fundamental para poner a prueba y confirmar la eficacia inmediata de estas nuevas defensas", afirmó.
En Argentina, denunciaron a Meta ante la Agencia de Acceso a la Información Pública para saber el alcance del impacto local.
"Es importante destacar que los investigadores han eliminado de forma segura los datos recogidos como parte del estudio, y no hemos encontrado evidencia de que actores maliciosos abusen de este vector. Como recordatorio, los mensajes de los usuarios permanecieron privados y seguros gracias al cifrado de extremo a extremo predeterminado de WhatsApp, y los investigadores no tuvieron acceso a ningún dato no público", señaló Gupta, según recogió el diario Clarín.
Con esa base de datos, los estafadores pueden mandar spam y llamadas automáticas (“robocalls”) a millones de celulares. Con el avance de la inteligencia artificial, esto podría realizarse de manera mucho más rápida y sencilla.
También pueden hacer phishing: mensajes o llamadas que se hacen pasar por bancos o empresas para robar contraseñas y códigos.
Como muchos dejan foto y texto público, es más fácil suplantar identidades o armar perfiles para ataques dirigidos.
Y, con tanta información junta, se pueden armar listas para propaganda política o publicidad muy dirigida, al estilo Cambridge Analytica
WhatsApp explicó cómo cambiar la configuración de privacidad en su aplicación, incluyendo opciones sobre la última conexión, la foto de perfil y quién puede agregar a grupos.
Según la plataforma, para modificar estas opciones hay que ir a “Configuración > Privacidad” y seleccionar qué se desea ajustar.
Luego se debe hacer clic en el tipo de ajuste, ya sea hora de últ. vez, foto de perfil, Info., estado o grupos.
Por último, WhatsApp ofrece cuatro niveles de privacidad: "Todos", "Mis contactos", "Mis contactos, excepto…" o "Nadie".
Estas herramientas permiten controlar quién puede ver la información personal dentro del servicio de mensajería.